Verwenden von Nachrichtenflussregeln zum Überprüfen von Nachrichtenanlagen in Exchange Online
In Exchange Online Organisationen oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer können Sie E-Mail-Anlagen überprüfen, indem Sie Nachrichtenflussregeln (auch als Transportregeln bezeichnet) einrichten. Nachrichtenflussregeln ermöglichen es Ihnen, E-Mail-Anlagen als Teil Ihrer Messagingsicherheits- und Complianceanforderungen zu untersuchen. Wenn Sie Anlagen überprüfen, können Sie dann basierend auf dem Inhalt oder den Merkmalen der Anlagen Aktionen für die Nachrichten ausführen. Im Folgenden finden Sie einige Aufgaben im Zusammenhang mit Anlagen, die Sie mithilfe von Nachrichtenflussregeln ausführen können:
- Suchen Sie nach Dateien mit Text, der einem von Ihnen angegebenen Muster entspricht, und fügen Sie am Ende der Nachricht einen Haftungsausschluss hinzu.
- Inhalt in Anlagen überprüfen und, wenn er von Ihnen angegebene Stichwörter enthält, die Nachricht vor der Zustellung zur Genehmigung an einen Moderator weiterleiten.
- Nachrichten auf Anlagen überprüfen, die nicht überprüft werden können, und dann das Senden der gesamten Nachricht verhindern.
- Suchen Sie nach Anlagen, die eine bestimmte Größe überschreiten, und benachrichtigen Sie dann den Absender über das Problem, wenn Sie die Zustellung der Nachricht verhindern möchten.
- Überprüfen Sie, ob die Eigenschaften eines angefügten Office-Dokuments mit den von Ihnen angegebenen Werten übereinstimmen. Mit dieser Bedingung können Sie die Anforderungen Ihrer Nachrichtenflussregeln und DLP-Richtlinien in ein Klassifizierungssystem eines Drittanbieters wie SharePoint oder die Windows Server-Dateiklassifizierungsinfrastruktur (FCI) integrieren.
- Erstellen Sie Benachrichtigungen, die Benutzer benachrichtigen, wenn sie eine Nachricht senden, die einer Nachrichtenflussregel entspricht.
- Blockieren aller Nachrichten mit Anlagen. Beispiele finden Sie unter Verwenden von Nachrichtenflussregeln für Anlagenblockierungsszenarien in Exchange Online.
Hinweis
Alle diese Bedingungen scannen komprimierte Archivanlagen.
Exchange Online Administratoren können Nachrichtenflussregeln im Exchange Admin Center (EAC) unter Nachrichtenflussregeln> erstellen. Sie benötigen Berechtigungen für dieses Verfahren. Nachdem Sie mit dem Erstellen einer neuen Regel begonnen haben, können Sie die vollständige Liste der Anlagebedingungen anzeigen, indem Sie unter Diese Regel anwenden die Option Beliebige Anlage auswählen, wenn. Die anlagenbezogenen Optionen sind im folgenden Diagramm dargestellt.
Weitere Informationen zu Nachrichtenflussregeln, einschließlich der vollständigen Auswahl von Bedingungen und Aktionen, finden Sie unter Nachrichtenflussregeln (Transportregeln) in Exchange Online. Exchange Online Protection (EOP) und Hybridkunden können von den bewährten Methoden für EOP-Nachrichtenflussregeln profitieren, die unter Best Practices for Configuring EOP (Best Practices for Configuring EOP) bereitgestellt werden. Wenn Sie bereit sind, Regeln zu erstellen, lesen Sie Verwalten von Nachrichtenflussregeln in Exchange Online.
Tipp
Wenn Sie vermuten, dass Ihre Regel nicht ordnungsgemäß funktioniert, überprüfen Sie zunächst, welche Anlagen die Nachricht enthält. Informationen dazu, welche Anlagen die Nachricht während der Auswertung der E-Mail-Flussregel enthalten ist, finden Sie unter Test-TextExtraction.
Diese Methode sollte funktionieren.
Überprüfen des Anlageninhalts
Sie können die Bedingungen für die Nachrichtenflussregel in der folgenden Tabelle verwenden, um den Inhalt von Nachrichtenanlagen zu untersuchen. Für diese Bedingungen wird nur der erste Text von 1 MB untersucht, der aus einer Anlage extrahiert wurde. Der Grenzwert von 1 MB bezieht sich auf den extrahierten Text, nicht auf die Dateigröße der Anlage. Beispielsweise kann eine 2-MB-Datei weniger als 1 MB Text enthalten, sodass der gesamte Text überprüft wird.
Um diese Bedingungen beim Überprüfen von Nachrichten zu verwenden, müssen Sie sie einer Nachrichtenflussregel hinzufügen. Weitere Informationen zum Erstellen oder Ändern von Regeln finden Sie unter Verwalten von Nachrichtenflussregeln in Exchange Online.
| Bedingungsname im EAC | Bedingungsname in Exchange Online PowerShell | Beschreibung |
|---|---|---|
| Inhalt mindestens einer Anlage enthält Beliebige Anlage>Inhalt enthält jedes dieser Wörter |
AttachmentContainsWords | Diese Bedingung ermittelt Nachrichten mit unterstützen Dateitypenanlagen, die eine angegebene Zeichenfolge oder Zeichengruppe enthalten. |
| Der Inhalt einer Anlage stimmt überein Beliebige Anlage>Inhalt entspricht diesen Textmustern |
AttachmentMatchesPatterns | Diese Bedingung ermittelt Nachrichten mit unterstützten Dateitypenanlagen, die ein Textmuster enthalten, das mit einem angegebenen regulären Ausdruck übereinstimmt. |
| Der Inhalt keiner Anlage konnte überprüft werden Beliebige Anlage>Inhalt kann nicht überprüft werden |
AttachmentIsUnsupported | Nachrichtenflussregeln können nur den Inhalt unterstützter Dateitypen überprüfen. Wenn die Nachrichtenflussregel eine Anlage findet, die nicht unterstützt wird, wird die AttachmentIsUnsupported-Bedingung ausgelöst. Die unterstützten Dateitypen werden im nächsten Abschnitt beschrieben. |
Hinweis
Die Bedingungsnamen in Exchange Online PowerShell sind Parameternamen in den Cmdlets New-TransportRule und Set-TransportRule. Weitere Informationen finden Sie unter New-TransportRule.
Weitere Informationen zu Eigenschaftentypen für diese Bedingungen finden Sie unter Nachrichtenflussregelbedingungen und -ausnahmen (Prädikate) in Exchange Online.
Informationen zur Verwendung von Windows PowerShell zum Herstellen einer Verbindung mit Exchange Online finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.
Unterstützte Dateitypen für die Inhaltsüberprüfung von Nachrichtenflussregeln
In der folgenden Tabelle sind die Dateitypen aufgeführt, die von Nachrichtenflussregeln unterstützt werden. Das System erkennt Dateitypen automatisch, indem es Dateieigenschaften statt der eigentlichen Dateinamenerweiterung untersucht, wodurch verhindert wird, dass böswillige Hacker die Filterung von Nachrichtenflussregeln umgehen können, indem sie eine Dateierweiterung umbenennen. Eine Liste der Dateitypen mit ausführbarem Code, der im Kontext von Nachrichtenflussregeln überprüft werden kann, wird weiter unten in diesem Artikel angegeben.
| Kategorie | Dateierweiterung | Hinweise |
|---|---|---|
| .rtf, .vdw, .vsd, .vss, .vst | Keine | |
| Komprimierte Archivdateien | .arj, .bz2, .cab, .chm, .gz, .gzip, .lha, .lzh, .lzma, .mhtml, .msp, .rar, .rar4, .tar, .xar, .xz, .zip, .7z | Keine |
| HTML | .ascx, .asp, .aspx, .css, .hta, .htm, .html, .htw, .htx, .jhtml | Keine |
| JSON | adaptivecard, .json, messagecard | Keine |
| .eml, .msg, .nws | Keine | |
| Microsoft Office | .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .obd, .obt, .one, .pot, .potm, .potx, .ppa, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .xlb, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw | Der Inhalt in diesen Dateitypen eingebetteter Teile wird ebenfalls überprüft. Objekte, die nicht eingebettet sind (z. B. verknüpfte Dokumente), werden jedoch nicht überprüft. Inhalte in den benutzerdefinierten Eigenschaften werden ebenfalls überprüft. |
| Microsoft Office XML | .excelove my life, .powerpointml, .wordml | Keine |
| Microsoft Visio | .vdw, .vdx, .vsd, .vsdm, .vsdx, .vss, .vssm, .vssx, .vst, .vstm, .vstx, .vsx, .vtx | Keine |
| Opendocument | ODP, .ods, .odt | Von ODF-Dateien werden keine Teile verarbeitet. Wenn die ODF-Datei beispielsweise ein eingebettetes Dokument enthält, wird der Inhalt dieses eingebetteten Dokuments nicht überprüft. |
| Andere | .dfx, .dxf, .encoffmetro, .fluid, .mime, .pointpub, .pub, .rtf, .vtt, .xps | Keine |
| Text | .asm, .bat, .c, .class, .cmd, .cpp, .cs, .csv, .cxx, .def, .dic, .h, .hpp, .hxx, .ibq, .idl, .inc, .inf, .ini, .inx, .java, .js, .json, .lnk, .log, .m3u, messagestorage, .mpx, .php, .pl, .pos, .tsv, .txt, .vcf, .vcs | Andere Dateien, die textbasiert sind, werden ebenfalls gescannt. Diese Liste ist repräsentativ. |
| XML | .infopathml, .jsp, .mspx, .xml | Keine |
Überprüfen der Dateieigenschaften von Anlagen
Die folgenden Bedingungen können in Nachrichtenflussregeln verwendet werden, um verschiedene Eigenschaften von Dateien zu überprüfen, die an Nachrichten angefügt sind. Um diese Bedingungen beim Überprüfen von Nachrichten zu verwenden, müssen Sie sie einer Nachrichtenflussregel hinzufügen. Weitere Informationen zum Erstellen oder Ändern von Regeln finden Sie unter Verwalten von Nachrichtenflussregeln.
Hinweis
Wenn Sie bestimmte Dateien mithilfe der Dateibedingung AttachmentNameMatchesPatterns oder AttachmentExtensionMatchesWords blockieren möchten, beachten Sie, dass diese Bedingung die tatsächliche Dateinamenerweiterung und nicht die Dateieigenschaften überprüft, was sich von der zuvor erwähnten Dateiinhaltsüberprüfung anderer Bedingungen unterscheidet. Wenn Sie eine Datei basierend auf der Erkennung der Systemdateieigenschaft blockieren müssen, z. B. wenn die Datei umbenannt wird, verwenden Sie stattdessen das Feature "Allgemeiner Anlagenfilter" der Anti-Mailware-Richtlinie .
| Bedingungsname im EAC | Bedingungsname in Exchange Online PowerShell | Beschreibung |
|---|---|---|
| Der Dateiname mindestens einer Anlage entspricht Beliebige Anlage>Dateiname entspricht diesen Textmustern |
AttachmentNameMatchesPatterns | Diese Bedingung gleicht Nachrichten mit Anlagen ab, deren Dateiname die von Ihnen angegebenen Zeichen enthält. |
| Die Dateierweiterung mindestens einer Anlage entspricht Beliebige Anlage>Die Dateierweiterung enthält diese Wörter |
AttachmentExtensionMatchesWords | Diese Bedingung gleicht Nachrichten mit Anlagen ab, deren Dateinamenerweiterung mit dem von Ihnen angegebenen übereinstimmt. |
| Eine Anlage ist größer als oder gleich Beliebige Anlage>size ist größer als oder gleich |
AttachmentSizeOver | Diese Bedingung gleicht Nachrichten mit Anlagen ab, wenn diese Anlagen größer oder gleich der von Ihnen angegebenen Größe sind. Diese Bedingung bezieht sich auf die Größe einzelner Anlagen, nicht auf die kumulierte Größe. Wenn Sie beispielsweise eine Regel festlegen, um eine Anlage mit einer Größe von 10 MB oder mehr abzulehnen, wird eine einzelne Anlage mit einer Größe von 15 MB abgelehnt, aber eine Nachricht mit drei Anlagen mit 5 MB zulässig. |
| Die Nachricht wurde nicht vollständig überprüft Beliebige Anlage>Überprüfung nicht abgeschlossen |
AttachmentProcessingLimitExceed | Diese Bedingung entspricht Nachrichten, wenn eine Anlage nicht vom Nachrichtenflussregel-Agent überprüft wird. |
| Die unterstützten Dateitypen finden Sie hier. Beliebige Anlage>verfügt über ausführbaren Inhalt |
AttachmentHasExecutableContent | Diese Bedingung ermittelt Nachrichten mit unterstützten Dateitypanlagen, wenn diese Anlagen durch ein Kennwort geschützt sind. Die unterstützten Dateitypen sind hier aufgeführt. |
| Weitere Informationen zum Cmdlet erhalten Sie unter New-TransportRule. Beliebige Anlage>ist kennwortgeschützter |
AttachmentIsPasswordProtected | Diese Bedingung entspricht Nachrichten mit Anlagen, die durch ein Kennwort geschützt sind. Die Kennworterkennung funktioniert für Office-Dokumente, komprimierte Dateien (.zip, .7z) und .pdf Dateien. |
| Jede Anlage verfügt über diese Eigenschaften, einschließlich dieser Wörter. Beliebige Anlage>hat diese Eigenschaften, einschließlich dieser Wörter |
AttachmentPropertyContainsWords | Diese Bedingung entspricht Nachrichten, in denen die angegebene Eigenschaft des angefügten Office-Dokuments angegebene Wörter enthält. Eine Eigenschaft und ihre möglichen Werte werden durch einen Doppelpunkt getrennt. Mehrere Werte werden durch ein Komma getrennt. Mehrere Eigenschaft-Wert-Paare werden ebenfalls durch ein Komma getrennt. |
Hinweis
Die Bedingungsnamen in Exchange Online PowerShell sind Parameternamen in den Cmdlets New-TransportRule und Set-TransportRule. Weitere Informationen finden Sie unter New-TransportRule.
Weitere Informationen zu Eigenschaftentypen für diese Bedingungen finden Sie unter Bedingungen und Ausnahmen für Nachrichtenflussregeln (Prädikate) in Exchange Online.
Informationen zum Herstellen einer Verbindung mit Exchange Online PowerShell finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.
Unterstützte ausführbare Dateitypen für die Überprüfung von Nachrichtenflussregeln
Die Nachrichtenflussregeln verwenden die Erkennung des true-Typs, um Dateieigenschaften und nicht nur die Dateierweiterungen zu überprüfen. Dieser Ansatz trägt dazu bei, zu verhindern, dass böswillige Hacker Ihre Regel umgehen können, indem sie eine Dateierweiterung umbenennen. In der folgenden Tabelle werden die ausführbaren Dateitypen aufgelistet, die von diesen Bedingungen unterstützt werden. Wenn eine Datei gefunden wird, die hier nicht aufgeführt ist, wird die AttachmentIsUnsupported Bedingung ausgelöst.
| Dateityp | Systemeigene Erweiterung |
|---|---|
| .exe | .dll |
| .jar | .exe |
| .exe | .exe |
| .obj | .exe |
| .vxd | .exe |
| .os2 | .Vxd |
| .w16 | .os2 |
| .dos | .w16 |
| .com | .Dos |
| .pif | .Com |
| .exe | .Pif |
| Die in diesem Artikel aufgeführten Dateitypen können jederzeit mithilfe der IFilter-Integration überprüft werden. Weitere Informationen finden Sie unter Registrieren von Filterpaket-IFiltern für Exchange 2013. | .exe |
Wichtig
.rar (selbstextrahierende Archivdateien, die mit dem WinRAR-Archiver erstellt wurden), .jar (Java-Archivdateien) und .obj -Dateien (kompilierter Quellcode, 3D-Objekt oder Sequenzdateien) werden nicht als ausführbare Dateitypen betrachtet. Um diese Dateien zu blockieren, können Sie Nachrichtenflussregeln verwenden, die nach Dateien mit diesen Erweiterungen suchen, wie weiter oben in diesem Artikel beschrieben, oder Sie können eine Antischadsoftwarerichtlinie konfigurieren, die diese Dateitypen blockiert (der allgemeine Filter für Anlagentypen). Weitere Informationen finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien in EOP.
Richtlinien zur Verhinderung von Datenverlust und E-Mail-Flussregeln für Anlagen
Hinweis
Dieser Abschnitt gilt nicht für eigenständige EOP-Organisationen.
Damit Sie wichtige Geschäftsinformationen in E-Mails verwalten können, können Sie alle Anlagebedingungen zusammen mit den Regeln einer Richtlinie zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) einschließen.
DLP-Richtlinien und anlagenbezogene Bedingungen können Ihnen helfen, Ihre geschäftlichen Anforderungen zu erzwingen, indem sie diese Anforderungen als Bedingungen für Nachrichtenflussregel, Ausnahmen und Aktionen definieren. Anlagenbezogene Bedingungen wie Größe oder Dateityp werden jedoch erst eingeschlossen, wenn Sie die in diesem Thema aufgeführten Bedingungen hinzufügen. Anlagenbezogene Bedingungen wie Größe oder Dateityp sind jedoch erst enthalten, wenn Sie die in diesem Artikel aufgeführten Bedingungen hinzufügen. DLP ist nicht für alle Versionen von Exchange verfügbar. weitere Informationen finden Sie unter Verhinderung von Datenverlust.
Weitere Informationen
Informationen zum umfassenden Blockieren von E-Mails mit Anlagen unabhängig von Schadsoftware status finden Sie unter Allgemeine Szenarien zum Blockieren von Anlagen für Nachrichtenflussregeln in Exchange Online.